Изменение статуса инфицированного компьютера убедит вредоносное приложение в уплате выкупа.
Специалисты компании InfoArmor разработали новый метод, позволяющий получить ключ дешифрования для восстановления файлов, зашифрованных вымогательским ПО Radamant, сообщает издание SecurityWeek.
В настоящее время известно по крайней мере о двух вариантах вредоноса - RDM v.1 и RKK v.2 По аналогии с другими типами вымогателей, оказавшись на компьютере жертвы, Radamant исследует жесткий диск и шифрует содержащиеся на нем файлы. За восстановление документов потребуется выплатить определенную сумму в биткоинах.
Предложенный специалистами InfoArmor метод основан на эксплуатации позволяющей осуществить SQL-инъекцию уязвимости в используемом Radamant C&C-сервере. Данная техника предполагает регистрацию инфицированного компьютера в командном центре вредоносного приложения путем оправки специально сформированного запроса HTTP POST.
По словам экспертов, запрос содержит открытый и закрытый ключи дешифрования, а также уникальный идентификатор бота, модифицированного для обхода фильтров. После того, как бот был зарегистрирован на сервере, при помощи специально сформированного HTTP-запроса специалисты смогли изменить статус всех зараженных устройств на «оплачено» и расшифровать файлы.
При наличии определенных условий базу данных можно восстановить полностью, утверждают исследователи. По их словам, изменение статуса инфицированного компьютера убедит вредоносное приложение в уплате выкупа. В результате жертва получит закрытый ключ для дешифрования, причем оператор вредоносного ПО даже не будет знать об активации процесса расшифровки контента.